Confuso com as correções de segurança relatadas em releases.discourse.org

Por exemplo, estou na versão 2026.4.2, que é relatada como corrigindo 25 bugs de segurança em comparação com a 2026.4.

Como a 2026.4.2 é muito recente, eu esperaria que ela tivesse backports da maioria ou de todas as correções de segurança encontradas na 2026.6, que foi lançada mais ou menos na mesma época.

Mas não, novamente eu vejo 25 bugs de segurança corrigidos. Suspeito bastante de que sejam os mesmos.

De fato, a 2026.6 é relatada como corrigindo — adivinhe — 25 bugs de segurança em comparação com a 2026.4.2.

Será que as versões de ponto não estão sendo relatadas com precisão?

Eu espero que seja verdade que estar na 2026.4.2 seja tão seguro quanto estar na 2026.6.0 e, se for esse o caso, que isso seja visível na comparação de lançamentos.

Ela realmente tem backports, e acho que esse é o problema… estamos apenas olhando para frente de 2026.4.2 → 2026.6 e trazendo “estas são as correções de segurança nesta versão” sem olhar para trás para verificar se sua versão já recebeu essas correções.

Está correto, @david? A correção seria verificar se a versão atual tem os mesmos patches que a nova versão e excluir as correspondências?

Sim, está exatamente certo, é apenas um artefato de como o site de lançamentos faz as comparações. Nós backportamos todas as correções de segurança para todos os lançamentos atualmente suportados.

Vou ver se podemos adicionar alguma lógica para melhorar as comparações entre lançamentos no site :eyes:

Isso vai resolver:

Obrigado – posso confirmar que nenhum correção de segurança é exibida de 2026.4.2 a 2026.6, o que era esperado.

Uma pergunta relacionada, no entanto. Na página de lançamentos, o 2026.7 atualmente em andamento oferece dois links:

O segundo deles nos leva a

que atualmente mostra 11 correções de segurança, em relação ao v2026.6.0-latest. Isso está correto? Uma verificação rápida de três delas mostra que todas foram corrigidas no 2026.6.0

Sim. O 2026.6.0-latest veio antes do 2026.6.0, e a maioria dos commits marcados como 2026.6.0-latest é vulnerável a essas questões de segurança.

Portanto, se as pessoas estiverem executando o 2026.6.0-latest, elas precisam atualizar para o 2026.7.0-latest. (ou para o 2026.6.0, mas isso significaria mudar para o canal ‘release’ em vez de ‘latest’)

Hmm, ok, entendi, obrigado. Eu esperava que o rótulo real para -latest estivesse na versão mais recente desse sabor.

O problema real que estou tentando resolver, ou a questão que tentarei responder regularmente, é se minha instalação se beneficiará de correções de segurança importantes se eu atualizar para alguma versão posterior específica. Portanto, espero obter uma lista de correções que estão nessa versão posterior, em relação à minha versão atual, e então pesquisar sobre elas para ver se se aplicam ou se parecem graves. (Por exemplo, qualquer coisa sobre chat ou e-mail de entrada não se aplica às minhas instalações.)

Isso faz sentido? Estou tentando atualizar quando acredito que preciso, e, caso contrário, o mínimo possível.

Se você usar a seção ‘avançado’ no topo do changelog, pode especificar commits específicos. Recentemente, introduzimos links para esse formato no topo do painel de administração para sites auto-hospedados:

Obrigado… Não vejo uma seção de ‘correções de segurança’ lá — especificamente, por exemplo, neste caso este. (Essa é a versão usada em um fórum específico que utilizo.)

Obrigado pelo link de exemplo. O problema com comparações de releases não suportadas está agora corrigido, então você verá todos os problemas de segurança que afetam você :sweat_smile:

Ah, isso é ótimo - obrigado.

Mais uma observação - eu preferiria que a seção Destaques pudesse ser recolhida, ou que a caixa Correções viesse antes dela na página.

Sim, isso seria útil nesse caso, considerando o número de novos destaques. Embora eu deva enfatizar: comparar com uma versão que não recebe suporte há mais de um ano não deveria ser algo comum :sweat_smile:

É verdade — mas uma coisa que pode motivar a atualização é dar uma olhada nas correções de segurança, possivelmente mais convincente do que a lista de recursos!